5° CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICAJOÃO PESSOA/PB

Segurança da Informação

17:22

2

COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS

� produzir informações e conhecimentos estratégicos que possam subsidiar as atividades das demais unidades da Controladoria-Geral da União;

� propor e adotar medidas, em articulação com a Diretoria de Sistemas e Informação, que protejam a Controladoria-Geral da União contra a disseminação não autorizada de conhecimentos e informações sigilosas ou estratégicas; e

� atuar na prevenção e neutralização das ações de inteligência adversa.

17:22

3

DENÚNCIAS ANÔNIMAS

17:224

LEI 8.112/90

� Art. 144. As denúncias sobre irregularidades serão objeto de apuração, desde que contenham a identificação e o endereço do denunciante e sejam formuladas por escrito, confirmada a autenticidade. � Parágrafo único. Quando o fato narrado não configurar

evidente infração disciplinar ou ilícito penal, a denúncia seráarquivada, por falta de objeto.

17:22

5

LEI 8.112/90

� Art. 143. A autoridade que tiver ciência de irregularidade no serviço público é obrigada a promover a sua apuração imediata, mediante sindicância ou processo administrativo disciplinar, assegurada ao acusado ampla defesa

17:22

6

OFÍCIO-CIRCULAR Nº 52/2008/OGU/CGU-PR

� Nenhuma manifestação anônima pode justificar, isoladamente, a abertura de processo ou procedimento formal na unidade de Ouvidoria.

� Poderá ser adotada medida sumária informal de verificação da ocorrência do(s) fato(s) alegado(s). Encontrado elemento de verossimilhança poderá a unidade de Ouvidoria abrir o processo ou procedimento cabível.

� A manifestação anônima não deverá ser conhecida no processo ou procedimento formal da unidade de Ouvidoria (não deve ser juntada aos autos), sendo este baseado tão somente nos fatos efetivamente verificados na ação sumária realizada previamente.

17:22

7

SEGURANÇA

17:228

17:22

9

�Segurança é a condição de se estar protegido contra perdas ou danos.

�Risco é o evento possível, que pode causar perdas ou danos.

�Ameaça é aquilo que dá início a um evento de risco.

�Contramedida ou controle: forma de impedir que uma ameaça inicie um evento de risco.

SEGURANÇA

17:22

10

�Manutenção da segurança é uma tarefa de esforços assimétricos: quem defende deve defender todos os pontos –enquanto que para o agressor é suficiente identificar e focar em um ponto fraco.

“Uma corrente não é mais forte do que o

seu elo mais fraco”.

SEGURANÇA

“Uma corrente não é mais forte do

que o seu elo mais fraco”.

17:22

12

�Garantir funcionamento normal

� Minimizar perdas e danos

�Corporação:

Pessoas

Materiais

Informações

SEGURANÇA CORPORATIVA

17:22

13

� Segurança quanto às Pessoas

� Segurança quanto à Documentação e ao Material

� Segurança das Comunicações

� Segurança das Áreas

� Segurança da Informação

SEGURANÇA CORPORATIVA

SEGURANÇA DA INFORMAÇÃO

17:2214

17:22

15

� Estamos na era do conhecimento.

� Informação é um bem valioso, mas intangível.

�Segurança da informação é diferente de segurança da informática.

SEGURANÇA CORPORATIVA

17:22

16

�Dados são símbolos com uma certa sintaxe;

� Informação é dados com uma certa semântica;

�Efeito/objetivo da informação é aumentar o conhecimento de determinado sujeito;

�Dado � Informação � Conhecimento

Conceito de Informação

17:22

17

� Informação como fator de produção e como produto

� Informação como qualidade de um produto (design, inovação)

�Empresas e P&D

�“Capital Intangível”

Sociedade da Informação

17:22

18

17:22

19

17:22

20

17:22

21

17:22

22

17:22

23

PARA VOCÊ...17:22

24

Quais informações tem mais valor pessoal?

Você se preocupa em protegê-las?

PARA SUA INSTITUIÇÃO...

� Quais informações tem mais valor?

� Sua organização se preocupa em protegê-las?

� Quais os impactos em não protegê-las? (sociedade, governo, país)

17:22

25

ONDE ESTÁ A INFORMAÇÃO?17:22

26

SEGURANÇA DA INFORMAÇÃO

Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, a intrusão, e a modificação desautorizada de dados ou informações,

abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional,

prevenir, assim como as destinadas a detectar,

deter e

documentar

eventuais ameaças a seu desenvolvimento.

17:22

27

Decreto 3.505, Política de Segurança da Informação na APF

armazenados,

em trânsito,

em processamento

Associação Brasileira de Normas Técnicas (ABNT).

� ISO/IEC 17799:2005. Tecnologia da informação –Técnicas de Segurança - Código de prática para a gestão da Segurança da Informação.

� ISO/IEC 27001:2006. Tecnologia da informação –Técnicas de Segurança - Sistema de Gestão de Segurança da Informação - Requisitos.

SEGURANÇA DA INFORMAÇÃO

É a proteção das informações dos diversos tipos

de ameaças para

garantir a continuidade do negócio,

minimizar o risco ao negócio,

maximizar o retorno sobre os investimentos e

as oportunidades de negócio.

17:22

29

ABNT NBR ISO/IEC 17799:2005 (27002)

Código de prática para a gestão da segurança da informação

OBJETIVOS

� DISPONIBILIDADE � garantir que a informação, os sistemas e os ativos possam ser

acessados sempre que necessário por usuários autorizados

� CONFIDENCIALIDADE � garantir que a informação, os sistemas e os ativos sejam

acessados somente por usuários autorizados

17:22

30

OBJETIVOS

� INTEGRIDADE � garantir que a informação, os sistemas e os ativos sejam

alterados somente por usuários autorizados, preservando sua exatidão e completeza

� AUTENTICIDADE � garantir que a informação, os sistemas e os ativos sejam

genuínos e possam ser verificados quanto a sua confiança

� garantir a veracidade do emissor/objeto/destinatário

17:22

31

DICA?

� Funcionários conversando em voz alta no aeroporto sobre a nova proposta de contrato

� Fogo

� Hackers

� Arquivo corrompido

� Paralisação do serviço

� Uso da Internet sem proteção

� Alteração inadequada por usuário autorizado

� Acesso não autorizado de terceiros

� Impressora no corredor

17:22

32

POLÍTICA DE SEGURANÇA

17:2233

17:22

34

�É um documento

Tem que estar escrita!

�Contém orientações gerais

Não é o lugar para detalhes

�Todos devem conhecê-la

�Deve tratar de:

Conscientização

Responsabilidades

Punições

�Deve ser revisada anualmente

Política de Segurança Corporativa

DECRETO 3.505/2000

� Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal

� Institui também o Comitê Gestor da Segurança da Informação, coordenado pelo GSI/PR e do qual a CGU éintegrante

17:22

35

NORMAS DECORRENTES DA POLÍTICA

� Segurança física de instalações

� Criação e manutenção de contas e senhas

� Instalação e configuração de aplicações

� Controle de acesso lógico

� Uso de Internet

� Uso de Correio Eletrônico

� Privacidade

� .....

17:22

36

CLASSIFICAÇÃO DE INFORMAÇÕES

� A informação deve ser classificada segundo o grau de sigilo

� Estruturar melhor a sua proteção

� A classificação deve valer tanto no ambiente computacional quanto no convencional

� Os usuários devem ser treinados em como classificar a informação sob sua responsabilidade

17:22

37

DECRETO 4.553/2002

� Estabelece classificação para as informações segundo grau de sigilo� ultra-secretos, secretos, confidenciais e reservados (+

ostensivos)

� Necessidade de conhecer� condição pessoal, inerente ao efetivo exercício de cargo,

função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança, tenha acesso a dados ou informações sigilosos

17:22

38

GESTÃO DE RISCOS

17:2239

GESTÃO DE RISCOS

� Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos (ISO GUIA73)

� O que é risco?� Perigo ou possibilidade de perigo

� Possibilidade de perda ou exposição à perda (GARTNER)

� Combinação da probabilidade de um evento e a sua conseqüência (ISO GUIA 73)

� É a probabilidade que ameaças explorem vulnerabilidades dos ativos, gerando impacto e perdas nos negócios.

17:22

40

AMEAÇA

� Causa potencial de um incidente que pode resultar em dano para o sistema ou organização (BS7799-3)

� O que tem potencial para causar perda e dano

� Falha de energia, inundação, erro, empregado

descontente

17:22

41

VULNERABILIDADE

� Fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças (BS7799-3)

� uma fraqueza que pode ser explorada

� Política desatualizada, falta de termo de

confidencialidade, falta de inventário de ativos, senhas

fracas, falta de cópia de segurança

17:22

42

OUTROS COMPONENTES

� Ativo� Recurso que suporta um processo, que tem valor e requer

proteção

� qualquer coisa que tenha valor para a organização (NBR 27001)

� Evento� Ocorrência de um conjunto específico de circunstâncias (ISO

GUIA 73)

� Controle� Medida que minimiza, reduz ou elimina o risco

17:22

43

FATORES CONTRIBUINTES DO RISCO

� Probabilidade� grau de possibilidade que um evento ocorra (ISO GUIA 73)

� baseada nas ameaças e vulnerabilidades (BS7799-3)

� Impacto� [conseqüência (ISO GUIA 73)]

� Resultado de um evento (ISO GUIA 73)

� Baseado no valor do ativo (BS7799-3)

� resultado negativo da exploração de uma vulnerabilidade

17:22

44

17:22

45

RISCO17:22

46

17:22

47

� Identificação dos Riscos

�Avaliação – Risco = probabilidade vs. impacto

� Implementação – Todas as estratégias de contramedidas ou controles classificam-se em:

Evitar (eliminar)

Controlar (mitigar)

Aceitar (custear)

Transferir (terceirizar ou fazer seguros)

�Reavaliação Periódica

Gerenciamento de Riscos:

ENCADEAMENTO DE RISCOS

� curto circuito (ameaça 1) explora

� falta de sistema detecção precoce incêndio (vulnerabilidade) gera

� fogo (impacto/ameaça 2) explora

� falta de extintor automático (vulnerabilidade) gera

� incêndio (impacto/ameaça 3) explora

� ausência de brigada, sala-cofre (vulnerabilidade) gera

� perda de informação (impacto final)

17:22

48

COMO TRATAR O RISCO

� Identificação dos riscos

� Avaliação dos riscos

� Tratamento dos riscos

� Controle dos riscos

17:22

49

IDENTIFICAÇÃO DOS RISCOS

� Levantamento dos ativos� Sistemas, hardware, software, processos, pessoal,

comunicações, documentação, serviços ...

� Definição do valor dos ativos� Custo de aquisição, de reposição, de manutenção

� Levantamento dos riscos� Ameaças, vulnerabilidades, impactos, probabilidades

17:22

50

AVALIAÇÃO DOS RISCOS

� Transformar em valores ou níveis os fatores identificados nos levantamentos realizados

� Análise custo x benefício

� Evitar, reduzir, transferir, aceitar

� Ignorar nunca!

17:22

51

TRATAMENTO DOS RISCOS

� Seleção dos controles

� Adoção dos controles – plano de ação

17:22

52

CONTROLE DOS RISCOS

� Revisão

� Indicadores

� Avaliação

� Auditoria

� Acompanhamento

17:22

53

AMEAÇA, VULNERABILIDADE OU RISCO?

� Refrigeração insuficiente na sala de servidores

� Fogo

� Sabotador/Hacker

� Paralisação do serviço

� Mídias em local inadequado

� DG telefônico em local de grande circulação

� Software malicioso

� Visitante mal intencionado

� Perseguição ao servidor denunciante

� Chuva forte, enchente

� Impressora no corredor

17:22

54

MEDIDAS DE PROTEÇÃO

17:2255

EMAIL

� Não abrir arquivos em anexo de remetentes desconhecidos

� Evite clicar em links recebidos por email. Prefira digitá-los

� Se necessitar de sigilo, criptografe a mensagem (certificado digital)

� Utilize o email particular para assuntos particulares (para sua privacidade)

17:22

56

CONTROLE DE ACESSO

� Senhas individuais

� Evitar senhas fracas

� Excluir perfis de acesso dos funcionários desligados

� Registrar os acessos para auditoria

17:22

57

ARQUIVOS

� Armazenar backup dos arquivos

� Guardar backup em local diferente

� Garantir consistência entre eles

� Efetuar testes periódicos das cópias

� Criptografar informações sigilosas

� Art. 48 (Decreto 4.553). O armazenamento de documentos sigilosos, sempre que possível, deve ser feito em mídias removíveis que podem ser guardadas com maior facilidade.

17:22

58

DESCARTE DE INFORMAÇÕES

� Descarte adequado de:� Mídias

� Documentos

� Áreas de compartilhamento

� Anotações, carbonos, etc

� Notebooks, pendrives

17:22

59

COMPORTAMENTO

� Cuidado com a Engenharia Social

� Evitar conversas em ambientes abertos

� Mesa limpa� Visitas, colaboradores

� Bloqueie o computador sempre que sair de sua mesa

17:22

60

TERCEIROS

� Conscientizar sobre a política de segurança

� Inserir cláusula específica nos contratos (Art. 59, Decreto 4.553)

� Acordo de nível de serviço (SLA – Service Level

Agreement)

17:22

61

MATERIAL DE CONSULTA

17:2262

SEGURANÇA DA INFORMAÇÃO

� ABNT ISO/IEC 27001 – Sistema de Gestão em Segurança da Informação

� ABNT ISO/IEC 27002 – Conjunto de controles de segurança da informação

� ABNT ISO/IEC Guia 73:2005, Gestão de riscos –Vocabulário

� Manual de boas práticas em Segurança da Informação (http://www.tcu.gov.br)

17:22

63

Controladoria-Geral da UniãoSecretaria de Prevenção da Corrupção e Informações Estratégicas

Diretoria de Informações Estratégicas

Felipe Dantasfelipe.araujo@cgu.gov.br

55-61-3412-7264

http://www.cgu.gov.br

17:22

64